Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Luận văn xây dựng hệ thống phát hiện xâm nhập IDS

56 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

MỤC LỤC CHƢƠNG TỔNG QUAN 1.1 Lý chọn đề tài 1.2 Mục tiêu nghiên cứu 1.3 Phƣơng pháp nghiên cứu 1.4 Đối tƣợng nghiên cứu 1.5 Dự kiến kết nghiên cứu CHƢƠNG NỘI DUNG NGHIÊN CỨU 2.1 Tổng quan đề tài 2.1.1 Khái quát tình hình Internet 2.1.2 Khái quát tình hình an ninh mạng Việt Nam 2.2 Các kiểu công 2.2.1 Tấn công từ chối dịch vụ (Denial of Service Attack) 2.2.2 Quét thăm dò (Scanning and Probe): 2.2.3 Tấn công vào mật mã (Password attack) 2.2.4 Chiếm đặc quyền (Privilege-grabbing) 10 2.2.5 Cài đặt mã nguy hiểm (Hostile code insertion) 11 2.2.6 Hành động phá hoại máy móc (Cyber vandalism) 12 2.2.7 Ăn trộm liệu quan trọng (Proprietary data theft) 13 2.2.8 Gian lận, lãng phí lạm dụng (Fraud, waste, abuse) 13 2.2.9 Can thiệp vào biên (Audit trail tampering) 14 2.2.10 Tấn công hạ tầng bảo mật (Security infrastructure attack) 15 2.2.11 Các mối đe doạ bảo mật 15 2.3 Tổng quan IDS 17 2.3.1 Khái niệm 17 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.3.2 Chức 18 2.3.3 Yêu cầu hệ thống 18 2.3.4 Cơ chế hoạt động 19 2.4 Hệ thống Snort 26 2.4.1 Giới thiệu Snort 26 2.4.2 File cấu hình 27 2.4.3 Cấu hình thiết lập tùy chỉnh rule 28 2.4.4 Tập luật (rules) Snort 38 CHƢƠNG TRIỂN KHAI 48 3.1 Các bƣớc cài đặt 48 3.2 Cấu hình snort report 52 CHƢƠNG KẾT LUẬN 54 4.1 Về mặt lý thuyết 54 4.2 Về sản phẩm 54 4.3 Hƣớng nghiên cứu 55 TÀI LIỆU THAM KHẢO 56 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Giáo viên phản biện LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƢƠNG TỔNG QUAN 1.1 Lý chọn đề tài Bảo mật vấn đề lớn tất mạng môi trƣờng doanh nghiệp ngày Hacker Intruder (kẻ xâm nhập) nhiều lần thành công việc xâm nhập vào mạng cơng ty đem ngồi nhiều thơng tin giá trị Đã có nhiều phƣơng pháp đƣợc phát triển để đảm bảo cho hạ tầng mạng giao tiếp internet nhƣ: sử dụng Firewall, VPN…trong có hệ thống phát xâm nhập Phát xâm nhập công nghệ phƣơng thức dùng để phát hành động khả nghi Host mạng Các phƣơng pháp phát xâm nhập bắt đầu xuất năm gần đây, sử dụng phƣơng thức phát xâm nhập, bạn thu thập, sử dụng thông tin từ loại cơng biết để tìm đố cố gắng công mạng hay máy cá nhân Hệ thống phát xâm nhập IDS (Intrusion Detection System) phƣơng pháp bảo mật có khả phát chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phƣơng pháp bảo mật truyền thống 1.2 Mục tiêu nghiên cứu - Tìm hiểu kỹ thuật xâm nhập bất hợp pháp mà Hacker thƣờng sử dụng để công vào mạng nội - Xây dựng hệ thống IDS sử dụng hệ thống mã nguồn mở Snort để phát bất thƣờng - Xây dựng hệ thống tập luật cho hệ thống phần mềm Snort, nhằm phát kiểu xâm nhập Hacker - Ứng dụng hệ thống nhiều môi trƣờng khác 1.3 Phƣơng pháp nghiên cứu - Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com mạng nội - Sử dụng hệ thống phát xâm nhập IDS phần mềm mã nguồn mở Snort, nhằm phát dấu hiệu bất thƣờng mạng nội - Nghiên cứu cấu trúc tập lệnh Rules Snort, từ tự xây dựng tập lệnh theo nhu cầu ngƣời dùng, nhằm đảm bảo cho hệ thống phát đƣợc cách thức xâm nhập Hacker vào hệ thống mạng nội - Thực nghiệm đƣa độ xác tập lệnh xây dựng, ứng dụng hệ thống nhiều môi trƣờng khác nhau, đặc biệt mơi trƣờng điện tốn đám mây ngày phát triển Việt Nam giới 1.4 Đối tƣợng nghiên cứu - HĐH Ubuntu: Nhằm tăng cƣờng tính bảo mật cho hệ thống - Các hình thức công phổ biến Hacker vào hệ thống mạng nội - Phần mềm mã nguồn mở Snort - Cấu trúc tập lệnh Rules 1.5 Dự kiến kết nghiên cứu - Hồn thiện việc tìm hiểu kỹ thuật xâm nhập bất hợp pháp vào mạng nội - Xây dựng thành công hệ thống phát xâm nhập mạng nội dựa phần mềm Snort - Xây dựng số tập lệnh Rules có khả phát kiểu công truy nhập bất hợp pháp vào mạng nội - Ứng dụng hệ thống nhiều môi trƣờng khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƢƠNG NỘI DUNG NGHIÊN CỨU 2.1 Tổng quan đề tài 2.1.1 Khái quát tình hình Internet Ngày nay, Internet phát triển mạnh mẽ đóng vai trị quan trọng đời sống ngƣời Mạng Internet mang lại nhiều tiện ích hữu dụng cho ngƣời sử dụng, phỗ thông nhƣ hệ thống thƣ điện tử, tán gẫu trực tuyến, cơng cụ tìm kiếm, dịch vụ thƣơng mại dịch vụ y tế giáo dục nhƣ chữa bệnh từ xa tổ chức lớp học trực tuyến… Chúng cung cấp khối lƣợng thông tin dịch vụ khổng lồ Internet Trong năm gần đây, phát triển điện toán đám mây, điện toán di động, mạng xã hội,… làm cho mạng Internet thiếu đời sống ngƣời Ngồi lợi ích mà Internet mạng lại cho ngƣời hiểm họa từ Internet mang đến khơng Nhiều ngƣời dựa lỗ hỗng bảo mật Internet để xâm nhập, chiếm dụng thơng tin phá hoại hệ thống máy tính khác Những ngƣời nhƣ thƣờng đƣợc gọi với tên “hacker” Với định nghĩa trƣớc đây, Hacker ám ngƣời tài giỏi Ngƣời có khả chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị bảo mật Những ngƣời đƣợc mệnh danh Hacker ngƣời hiểu rõ hoạt động hệ thống máy tính, mạng máy tính dùng kiến thức thân để làm thay đổi, chỉnh sửa Nhƣng dần dần, ngƣời nghe tới Hacker thƣờng liên tƣởng tới kẻ có mục đích phá hoại công hệ thống mạng để ăn cắp thông tin Symantec nhận định: “Trƣớc đây, kẻ công thƣờng phải tự tạo dựng công cụ từ đầu Quy trình phức tạp khiến cho cơng bó hẹp phạm vi kẻ tội phạm mạng có kỹ cao Tuy nhiên, công cụ công ngày lại dễ sử dụng, chí chúng cịn giúp kẻ tập tành vào nghề tự cơng đƣợc mục tiêu Do vậy, cho có nhiều hoạt động tội phạm lĩnh vực này, nhiều LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khả ngƣời dùng trung bình trở thành nạn nhân” Theo thống kê: “Các doanh nghiệp Mỹ năm thiệt hại hàng tỷ đơ-la tội phạm mạng.”, “bộ phận quản trị hệ thống ngân hàng VietinBank cho biết ngày có 13.300 virus, gần 40 spyware/grayware khoảng 67.000 thƣ rác đƣợc phát toàn hệ thống nhà băng này”, “Facebook Twitter đồng loạt bị cơng DDoS”, “Hàng trăm nghìn trang web bị cơng”… 2.1.2 Khái qt tình hình an ninh mạng Việt Nam Trong năm 2012, công, phát tán phần mềm gián điệp (spyware) vào quan, doanh nghiệp hình thái giới tội phạm mạng mang tính chất quốc gia Thế giới năm qua bị rúng động hoành hành Flame Duqu, virus đánh cắp thông tin mật hệ thống điện toán khu vực Trung Đông Các chuyên gia Công ty Bkav nhận định, vụ việc tƣơng tự bắt đầu diễn Việt Nam Hoạt động gián điệp mạng thông qua phát tán virus trở thành ngành "công nghiệp" năm 2013 Đa phần ngƣời sử dụng ngộ nhận file văn (Word, Excel, PowerPoint) loại file an tồn, khơng có virus Khơng đơn giản để thay đổi quan điểm tƣơng lai gần điều kiện "lý tƣởng" để giới tội phạm phát triển mạng lƣới gián điệp 2.2 Các kiểu công 2.2.1 Tấn công từ chối dịch vụ (Denial of Service Attack) Cho dù đa dạng kích cỡ hình dạng, từ subtle malformed packet đến full-blown packet storm, Denial of Service (DoS) attack có mục đích chung đóng băng hay chặn đứng tài ngun hệ thống đích Cuối cùng, mục tiêu trở nên tiếp cận trả lời DoS công vào mục tiêu bao gồm dạng mạng, hệ thống ứng dụng - Network flooding bao gồm SYN flood, Ping flood hay multi echo request… - Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND, kiểu công nhằm lợi dụng lỗ hổng hệ điều hành nhằm phá hoại, gây tải hệ thống Sự kiện xảy cách gửi gói tin có định dạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khác thƣờng tới hệ thống thiết bị, chúng đƣợc tạo công cụ công đƣợc lập trình trƣớc - Phá hoại, gây tải ứng dụng bao gồm kỹ thuật phá hoại gây tải hệ thống cách lợi cụng điểm yếu ứng dụng, sở liệu, email, trang web… Ví dụ: email dài hay số lƣợng lớn email, hay số lƣợng lớn yêu cầu tới trang web gây tải cho server ứng dụng Giải pháp IDS: Một firewall dạng proxy hiệu để ngăn chặn gói tin khơng mong muốn từ bên ngồi, nhiên Network IDS phát đƣợc cơng dạng gói tin 2.2.2 Qt thăm dị (Scanning and Probe): Bộ qt thăm dị tự động tìm kiếm hệ thống mạng để xác định điểm yếu Tuy cơng cụ đƣợc thiết kế cho mục đích phân tích để phịng ngừa, nhƣng chúng đƣợc sử dụng để gây hại cho hệ thống Các công cụ quét thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, AXENT NetRecon Việc thăm dò đƣợc thực cách ping đến hệ thống nhƣ kiểm tra cổng TCP UDP để phát ứng dụng có lỗi đƣợc biết đến Vì cơng cụ cơng cụ đắc lực cho mục đích xâm nhập Giải pháp IDS: Network-based IDS phát hành động nguy hiểm trƣớc chúng xảy Yếu tố “time-to-response” quan trọng trƣờng hợp để chống kiểu cơng nhƣ trƣớc có thiệt hại Host-based IDS có tác dụng kiểu cơng này, nhƣng không hiệu giải pháp dựa mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 2.1: Chính sách bảo mật theo chiều sâu 2.2.3 Tấn cơng vào mật mã (Password attack) Có phƣơng thức tiếp cận kiểu công Passwork attack Kiểu dễ nhận thấy ăn trộm mật mã, mang lại quyền hành tính linh động cao cho kẻ cơng truy nhập tới thơng tin thành phần mạng Đoán hay bẻ khóa mật mã phƣơng thức tiếp cận đƣợc gọi brute force cách thử nhiều mật mã để mong tìm đƣợc mật mã Với bẻ khóa, kẻ công cần truy nhập tới mật mã đƣợc mã hóa, hay file chứa mật mã mã hóa, kẻ cơng sử dụng chƣơng trình đốn nhiều mã với thuật tốn mã hóa sử dụng đƣợc để xác định mã Với tốc độ máy tính nay, việc bẻ khóa hiệu trƣờng hợp mật mã từ có nghĩa (trong từ điển), mã nhỏ ký tự, tên thơng dụng phép hốn vị Hiện nay, Internet cung cấp nhiều chƣơng trình “password hackerware” tải sử dụng dễ dàng Các công cụ đƣợc kỹ sƣ sử dụng với mục đích tốt nhƣ tìm lại mật mã, hay tìm kiếm thơng tin cần thiết cho q trình điều tra tội phạm… - Ta có ví dụ trộm mật mã nhƣ nghe trộm mật mã gửi mạng (LOPHT2.0), gửi thƣ, chƣơng trình có kèm keylogger, trojan cho ngƣời quản trị; ngồi khơng thể khơng kể tới phƣơng thức công vào yếu tố ngƣời nhƣ nhìn trộm, dùng vũ lực ép buộc… - Dự đốn bẻ khóa ví dụ nhƣ: đốn từ tên, thông tin cá nhân, từ từ thông dụng (có thể dùng biết username mà khơng biết mật mã), sử dụng tài LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khoản khách chiếm quyền quản trị; phƣơng thức cơng nhƣ brute force, đốn mật mã mã hóa từ từ từ điển, ta có số cơng cụ nhƣ LOPHT Crack, pwldump… Giải pháp IDS: Một Network-based IDS phát ngăn chặn cố gắng đốn mã (có thể ghi nhận sau số lần thử không thành cơng), nhƣng khơng có hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chƣơng trình bẻ khóa Trong Host-based IDS lại có hiệu việc phát việc đoán mật mã nhƣ phát truy nhập trái phép tới file chứa mật mã 2.2.4 Chiếm đặc quyền (Privilege-grabbing) Khi kẻ công xâm nhập đƣợc vào hệ thống, chúng cố chiếm quyền truy nhập Khi thành công, chúng chiếm đƣợc hệ thống Trong hệ điều hành UNIX, điều nghĩa trở thành “root”, Windows NT “Administrator”, NetWare “Supervisor” Các câu lệnh mã thực cho kỹ thuật kiếm đƣợc Internet, ví dụ nhƣ khai thác lỗi tràn đệm hệ điều hành hay phần mềm ứng dụng để ghi đè segment vào nhớ Khi chiến thuật đƣợc sử dụng với chƣơng trình hệ điều hành đặc quyền, thƣờng gây lỗi hỏng core, dẫn đến kẻ cơng có quyền truy cập “superuser” Dƣới số kỹ thuật thƣờng dùng cho việc chiếm đặc quyền: - Đốn hay bẻ khóa root hay administrator - Gây tràn đệm - Khai thác Windows NT registry - Truy nhập khai thác console đặc quyền - Thăm dò file, scrip hay lỗi hệ điều hành ứng dụng Giải pháp IDS: Cả Network Host-based IDS xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDS tìm kiếm đƣợc ngƣời dùng 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nocase nocase; Từ khóa nocase đƣợc sử dụng kết hợp với từ khóa content Nó khơng có đối số Mục đích thực việc tìm kiếm trƣờng hợp vơ tình.Option content phải đƣợc định nghĩa trƣớc nocase content-list content_list: < filename>; Từ khóa content-list đƣợc sử dụng với tên file nhƣ đối số từ khóa File chứa danh sách chuỗi đƣợc tìm kiếm gói tin Mỗi chuỗi đƣợc đặt dòng khác file dsize dsize: [] < number>; Từ khóa dsize đƣợc sử dụng để tìm chiều dài payload(dữ liệu) gói tin Có nhiều cách công sử dụng lổ hổng tràn đệm cách gửi gói tin có kích thƣớc lớn tới server Sử dụng từ khóa này, Snort tìm thấy gói tin có chiều dài liệu lớn nhỏ số xác định flags flags: < flags>; Từ khóa flags đƣợc sử dụng để tìm bit flag đƣợc thiết lập header TCP gói tin Mỗi flag đƣợc sử dụng nhƣ đối số từ khóa flags luật Snort fragbits fragbits: < flag_settings>; Sử dụng từ khóa này, bạn tìm bit RB (Reserved Bit), DF(Don't Fragment Bit), MF(More Fragments Bit) header IP có đƣợc bật lên hay không icmp_id icmp_id: < number>; 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Option icmp_id đƣợc sử dụng để phát ID cụ thể đƣợc sử dụng với gói tin ICMP icmp_seq icmp_seq: < hex_value>; Option icmp_seq giống nhƣ từ khóa icmp_id itype itype: < number>; Header ICMP nằm sau header IP chứa trƣờng type Từ khóa itype đƣợc sử dụng để phát cách công sử dụng trƣờng type header ICMP gói tin icode icode: < number>; Trong gói tin ICMP, header ICMP sau header IP Nó chứa trƣờng code Từ khóa icode đƣợc sử dụng để phát trƣờng code header gói tin ICMP id id: < number>; Từ khóa id đƣợc sử dụng để đối chiếu trƣờng fragment ID header gói tin IP Mục đích phát cách công sử dụng số ID cố định ipopts ipopts: < ip_option>; Header IPv4cơ dài 20 byte Bạn thêm tùy chọn vào header cuối Chiều dài phần tùy chọn lên đến 40 byte Các tùy chọn đƣợc sử dụng cho mục đích khác nhau, bao gồm: • Record Route (rr) • Time Stamps (ts) • Loose Source Routing (lsrr) 43 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com • Strict Source Routing (ssrr) ip_proto ip_proto: [!] < name or number>; Từ khóa ip_proto sử dụng plug-in IP Proto để xác định số giao thức header IP Từ khóa cần số giao thức đối số Bạn sử dụng tên giao thức phân giải file /etc/protocols logto logto: < file_name>; Từ khóa logto đƣợc sử dụng để ghi log gói tin vào file đặc biệt msg msg: < sample message>; Từ khóa msg đƣợc sử dụng để thêm chuỗi kí tự vào việc ghi log cảnh báo Bạn thêm thơng điệp hai dấu ngoặc kép sau từ khóa priority priority: < priority integer>; Từ khóa priority gán độ ƣu tiên cho luật react react: ; Từ khóa react đƣợc sử dụng với luật để kết thúc phiên, khóa vài vị trí dịch vụ Khơng phải tất option với từ khóa hoạt động Để sử dụng từ khóa react, bạn nên biên dịch Snort với lệnh enable-flexresp script cấu hình reference reference : ,; Từ khóa reference thêm tham khảo đến thơng tin tồn hệ thống khác mạng Nó khơng đóng vai trị chế phát Có nhiều hệ thống để tham khảo nhƣ CVE Bugtraq Những hệ thống giữ 44 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thông tin thêm kiểu công đƣợc biết Bằng việc sử dụng từ khóa này, bạn kết nối đến thông tin thêm thông điệp cảnh báo resp Từ khóa resp từ khóa quan trọng Nó đƣợc sử dụng để đánh bại hành vi hacker cách gửi gói tin trả lời cho host mà tạo gói tin thỏa luật Từ khóa đƣợc biết nhƣ Flexible Response (FlexResp) đƣợc dựa FlexResp plug-in Plug-in nên đƣợc biên dịch vào Snort, sử dụng lệnh ( with-flexresp)trong script cấu hình Các option cho resp: res_all :reset both transmitting and receiving connections rst_rcv reset receiving TCP connections rst_send reset transmitting TCP connection string:icmp_id :reset both transmitting and receiving icmp connections rev rev: < revision integer>; Từ khóa rev đƣợc thêm vào option luật Snort để số revision luật Nếu bạn cập nhật luật, bạn sử dụng từ khóa để phân biệt phiên Các module output sử dụng số để nhận dạng số revision rpc rpc: < Số ứng dụng, Số thủ tục, Số phiên bản> Từ khóa rpc đƣợc sử dụng để phát yêu cầu RPC Từ khóa chấp nhận số nhƣ đối số : sameip sameip; Từ khóa sameip đƣợc sử dụng để kiểm tra địa nguồn đích có giống hay khơng Nó khơng có đối số 45 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com seq seq: ; Từ khóa seq luật Snort đƣợc sử dụng để kiểm tra số thứ tự sequence gói tin TCP flow Từ khóa flow đƣợc sử dụng để áp dụng luật lên gói tin di chuyển theo hƣớng cụ thể Bạn sử dụng option với từ khóa để xác định hƣớng Các option sau đƣợc sử dụng với từ khóa : • to_client • to_server • from_client • from_server session session: [printable|all]; Từ khóa đƣợc sử dụng để gạt bỏ tất liệu text từ phiên TCP sid sid: < snort rules id>; Sử dụng SID, cơng cụ nhƣ ACID biểu diễn luật thật tạo cảnh báo cụ thể tag tag: , , [, direction] Từ khóa tag từ khóa quan trọng khác đƣợc sử dụng để ghi log liệu thêm vào từ ( đến) host xâm nhập luật đƣợc kích hoạt Dữ liệu thêm vào đƣợc phân tích sau cách chi tiết tos tos: < number>; 46 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Từ khóa tos đƣợc sử dụng để phát giá trị cụ thể trƣờng TOS (Type of Service) header IP ttl ttl: < number>; Từ khóa ttl đƣợc sử dụng để phát giá trị Time to Live header IP gói tin Từ khóa đƣợc sử dụng với tất kiểu giao thức đƣợc xây dựng IP nhƣ ICMP, UCP TCP Sử dụng từ khóa ttl, bạn tìm có ngƣời cố gắng traceroute mạng bạn Vấn đề từ khóa cần giá trị TTL xác uricontent uricontent: [!] "content string"; Từ khóa uricontent giống với từ khóa content ngoại trừ việc đƣợc sử dụng để tìm chuỗi phần URI gói tin 47 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƢƠNG TRIỂN KHAI 3.1 Các bƣớc cài đặt a) Bước 1: Trƣớc cài snort Ubutu , ta phải cài số phần mềm mà Ubuntu cần cung cấp để hỗ trợ hoạt động snort: Cập nhập cấu hình hệ thống apt-get update apt-get upgrade Cài đặt MySQL apt-get install mysql-server Nhấn ok Ta nhập xác nhận password MySQL root Cài đặt gói hỗ trợ mạng apt-get install apache2 apt-get install php5 apt-get install php5-mysql apt-get install php5-gd apt-get install libpcap0.8-dev apt-get install g++ apt-get install bison apt-get install flex 48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com apt-get install libmysqlclient16-dev apt-get install libpcap-ruby apt-get install php-pear pear install force Image_Color pear install force Image_Canvas pear install force Image_Graph Sau cài đặt thành công phần mềm , ta tải thêm phần mềm khác từ website khác : barnyard2-1.9: http://www.securixlive.com/download/barnyard2/barnyard21.9.tar.gz base-1.4.5: http://nchc.dl.sourceforge.net/project/secureideas/BASE/base1.4.5/base-1.4.5.tar.gz libpcap-1.0.0: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz libdnet-1.11:http://nchc.dl.sourceforge.net/project/libdnet/libdnet/libdnet1.11/libdnet-1.11.tar.gz pcre-8.12: http://nchc.dl.sourceforge.net/project/pcre/pcre/8.12/pcre8.12.tar.gz snortreport-1.3.1: http://www.symmetrixtech.com/ids/snortreport-1.3.1.tar.gz snort2.9.0.5: http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz daq-0.5 : http://www.snort.org/dl/snort-current/daq-0.5.tar.gz snort-rules ta phải đăng ký tài khoản trang chủ snort : http://hem.bredband.net/jpgraph/jpgraph-1.27.1.tar.gz b) Bước 2: Tiến hành cài đặt Ta di chuyển đến vùng chứa source mà bƣớc tải  Cài đặt Libpcap # tar zxvf libpcap-1.0.0.tar.gz 49 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com # cd libpcap-1.0.0 # /configure && make && make install  Cài đặt PCRE # tar zxvf pcre-8.12.tar.gz # cd pcre-8.12 # /configure && make && make install  Cài đặt Libdnet # tar -zxvf libdnet-1.11.tar.gz # cd libdnet-1.11 # /configure && make && make install # Ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet  Cài đặt Daq # tar -zxvf daq-0.5.tar.gz # cd daq-0.5 # /configure && make && make install # ldconfig  Cài đặt Snort # tar -xvf snort-2.9.0.5.tar.gz # cd snort-2.9.0.5 # /configure prefix=/usr/local/snort/etc /snort/ enable-gre enable-ipv6 50 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com enable-mpls enable-targetbased enable-decoder-preprocessor-rules\ enable-ppm enable-perfprofiling enable-zlib enable-active-response\ enable-normalizer enable-reload enable-flexresp3\ enable-react with-mysql enable-dynamicplugin enable-build-dynamic-examples # make && make install # mkdir /var/log/snort # useradd snort # chown snort:snort /var/log/snort  Cài đặt snort rules # tar -zxvf snortrules-snapshot-2904.tar.gz -C /usr/local /snort # mkdir /usr/local /snort/lib/snort_dynamicrules # cp /etc/NCKH2013/snort/so_rules/precompiled/Ubuntu-10-4/i386/2.9.0.4/*\ /usr/local/snort/lib/snort_dynamicrules  Cài đặt barnyard2 # tar -zxvf barnyard2-1.9.tar.gz # cd barnyard2-1.9 # /configure with-mysql # make && make install # cp etc/barnyard2.conf /etc/NCKH2013/snort/etc 51 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com # mkdir /var/log/barnyard2 # chmod 666 /var/log/barnyard2 # touch /var/log/snort/barnyard2.waldo # chown snort.snort /var/log/snort/barnyard2.waldo  Cấu hình barnyard2 # vim //usr/local /snort/ect/barnyard2.conf c) Bước 4: Cài đặt cấu hình cơng cụ hỗ trợ xuất alert web 3.2 Cấu hình snort report # mkdir /var/www/jpgraph # tar -zxvf /home/quanthitrong/jpgraph-1.27.1.tar.gz # cp -r /home/quanthitrong/jpgraph-1.27.1/src /var/www/jpgraph/ # tar -zxvf /home/quanthitrong/snortreport-1.3.1.tar.gz -C /var/www/ # vim /var/www/snortreport-1.3.1/srconf.php Tiến hành cài đặt Snortreport để hiển thị thông tin mà hệ thống phát đƣợc Trên máy Monitor: Trên trình duyệt web ta gõ nhƣ sau: http://192.168.1.1/snortreport-1.3.3/alerts.php Viết rule cảnh báo đơn giản aler tcp any any any 23 (msg: “telnet is not allowed by snort”; sid: 1000511;) 52 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Xem kết snortreport 53 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƢƠNG KẾT LUẬN 4.1 Về mặt lý thuyết Đề tài nêu rõ cần thiết bảo mật, hạn chế phƣơng pháp bảo mật tại, đồng thời nói lên cần thiết hệ thống phát xâm nhập trái phép Đề tài đề cập tƣơng đối kỹ lƣỡng đến vấn đề lý thuyết IDS, bao gồm kiến trúc chung, phân loại mơ hình IDS Về vấn đề phƣơng pháp phát xâm nhập trái phép, đề tài nêu hai phƣơng pháp phát dựa dấu hiệu, dựa dấu hiệu bất thƣờng dựa việc phân tích trạng thái giao thức, nhƣng khơng nói đến giải thuật cho phƣơng pháp Lý IDS cơng nghệ phát triển có nhiều hƣớng tiếp cận, nên khơng có giải thuật đƣợc sử dụng làm chuẩn cho việc phát xâm nhập trái phép, công cụ có phƣơng pháp riêng Với Snort, phần mềm đƣợc chọn để xây dựng sản phẩm, đề tài đề cập đến đặc trƣng với vai trị mơ hình IDS Đề tài nói đến thành phần chế hoạt động Snort, giới thiệu tập luật Snort bƣớc cài đặt hệ thống IDS hoạt động dựa phần mềm 4.2 Về sản phẩm Snort công cụ phát xâm nhập phổ biến đƣợc gọi lightweight Instrution Detection System, với số đặc tính sau: - Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows… Kích thƣớc tƣơng đối nhỏ: phiên 2.6.1.5 có kích thƣớc 3.55 MBytes Có khả phát số lƣợng lớn kiểu thăm dò, xâm nhập khác nhƣ : buffer overflow, CGI-attack, dị tìm hệ điều hành, ICMP, virus,… Phát nhanh xâm nhập theo thời gian thực 54 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập - Giúp ngƣời quản trị tự đặt dấu hiệu xâm nhập cách dễ dàng Là phần mềm Open Source khơng tốn chi phí đầu tƣ Chƣơng trình sản phẩm giải đƣợc yêu cầu Đề tài: Snort đƣợc xây dựng với mục đích thoả mãn tính sau: Có hiệu cao, đơn giản có tính uyển chuyển cao, dễ dàng cập nhập cài đặt (nguồn mở ), phát triển tiếp tƣơng lai 4.3 Hƣớng nghiên cứu - Xây dựng hệ thống để ứng dụng mơi trƣờng điện tốn đám mây, môi trƣờng Việt Nam giới - Tìm hiểu nhiều hình thức cơng Hacker, nhằm xây dựng tập luật để phát dấu hiệu cơng 55 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO Intrusion Detection Systems (IDS) – WindowsSecurity.com “The need for Intrusion Detection System”, “How IDS Addresses common Threats, Attacks & Vulnerabilities”, Everything you need to know about IDS, 1999 AXENT Technologies, Inc Intrusion Detection with Snort - Jack Koziol Sams Publishing 2003 Snort, Snort Inline, SnortSam, SnortCenter, Cerebus, B.A.S.E, Oinkmaster official documents Snort GUIs: A.C.I.D, Mike Poor, mike@digitalguardian.net Snort Center,and Beyond - Various sources over Internet http://snort.org/docs http://google.com.vn http://dc308.4shared.com/doc/ByafEJGW/preview.html http://marc.info/?l=snort-users&m=128931705314399 56 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... có hệ thống phát xâm nhập Phát xâm nhập công nghệ phƣơng thức dùng để phát hành động khả nghi Host mạng Các phƣơng pháp phát xâm nhập bắt đầu xuất năm gần đây, sử dụng phƣơng thức phát xâm nhập, ... từ tự xây dựng tập lệnh theo nhu cầu ngƣời dùng, nhằm đảm bảo cho hệ thống phát đƣợc cách thức xâm nhập Hacker vào hệ thống mạng nội - Thực nghiệm đƣa độ xác tập lệnh xây dựng, ứng dụng hệ thống. .. cứu - Hồn thiện việc tìm hiểu kỹ thuật xâm nhập bất hợp pháp vào mạng nội - Xây dựng thành công hệ thống phát xâm nhập mạng nội dựa phần mềm Snort - Xây dựng số tập lệnh Rules có khả phát kiểu

Ngày đăng: 01/11/2022, 16:03

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w